Forscher der Firma Qualys haben gestern eine schwere kritische Sicherheitslücke in der Glibc Bibliothek veröffentlicht. Dabei wird unter anderem die Funktion „gethostbyname()“ ausgenutzt um einen Heap Overflow auszulösen. Da diese Funktion von einigen Netzwerkdiensten verwendet wird ist die Lücke auch aus der Ferne nutzbar.
Der Fehler in der Bibliothek wurde bereits im November 2000 veröffentlicht. 2013 wurde das Problem von den Glibc-Entwicklern zwar entdeckt und behoben, doch damals erkannte niemand, dass es sich um ein kritisches Sicherheitsproblem handelt. Da einige Distributionen normalerweise nur kritische Patches portieren, sind durch die falsche Einstufung der Lücke auch aktuelle Distributions-Versionen betroffen.

Funktion eigentlich veraltet

Die Qualys-Forscher haben der Lücke den Namen GHOST gegeben, eine Anspielung auf den Funktionsnamen gethostbyname(), und sie trägt die offizielle ID CVE-2015-0235. Die Funktion gethostbyname() ist eigentlich veraltet und Entwickler sollten die neue Funktion getaddrinfo() nutzen, die von dieser Lücke nicht betroffen ist. Ob ein Programm von dieser Lücke betroffen ist, kommt also darauf an, welche Funktion genutzt wird. Die Qualys-Sicherheitsforscher konnten mehrere Programme identifizieren, die noch die alte gethostbyname() Funktion verwenden. So sind beispielsweise der Mailserver Exim und das Mailfiltersystem procmail betroffen.

Ist mein Server betroffen?

Die Administratoren von internex haben rasch reagiert und bereits sämtliche Managed– und Webhostingserver aktualisiert. Unseren Root-Server Kunden empfehlen wir dringend ein Update Ihrer Server durchzuführen – bei Fragen stehen wir wie immer mit professionellem Rat zur Seite!

Betroffen ist Ihr Server, wenn Sie eine alte Glibc-Version am Server im Einsatz haben. Bei diesen Versionen ist der Fehler bereits behoben:

RedHat 5:           2.5-123
RedHat 6/7:      2.12-1.149
Debian 6:            2.11.3-4+deb6u4
Debian 7:            2.13-38+deb7u7